“좀비(zombie)가 되살아나고 있다.” 영화 속 이야기가 아니다. 최근 진압됐던 봇넷(Botnet: 공격 네트워크)의 부활 징후가 다시 나타나고 있기 때문이다.
1일 워싱톤포스트·IDG뉴스 등은 인터넷 보안 전문가들의 말을 빌어 최근 몇일새 봇(Bot)에 감염된 PC들이 다시 결합하면서 스팸 메시지가 급증하고 있다며 전세계 스팸의 근원으로 꼽혔던 ‘스리즈비(Srizbi)’ 봇넷의 부활을 경고했다.
스리즈비는 전세계 발송량의 거의 절반을 차지하는 스팸의 본산으로 지난 미국 대선 당시 유포된 스팸의 75% 이상이 이곳에서 비롯된 것으로 추정될만큼 강력한 봇넷이었다. 하지만 보안업계의 노력과 2주전 근거지로 확인된 웹호스팅 업체 ‘맥콜로(McColo)’의 서비스 중단이라는 극약 처방 이후 사실상 생명을 다한 것으로 파악됐었다. 당시 서비스 차단으로 스팸 비율이 40∼75%까지 하락한 것으로 조사되기도 했다.
하지만 보안 전문업체 파이어아이는 최근 스리즈비 봇넷이 다시 부활해 업데이트를 시작한 것으로 보고 대응에 나섰다.
파이어아이 측은 “스리즈비는 명령 및 제어서버가 차단될 경우 백업한 뒤 새로운 도메인들을 생성, 명령과 업데이트를 지시하는 알고리듬을 가져 부활할 수 있다”고 우려했다. 이미 최근 에스토니아에 있는 서버에서 그 징후가 발견됐고 러시아에서 새로운 도메인 등록이 이뤄진 것으로 알려졌다.
봇넷 재발을 막기 위해 알고리듬 분석을 통해 스리즈비가 타깃으로 삼을 만한 잠재 도메인 이름을 선취하는 것이 효과적이라고 파이어아이는 설명했다. 이미 최근 발견한 ‘auaopagr.com’ 등의 도메인 등록에 나서기도 했다. 하지만 주당 450개 이상의 도메인을 등록해야 하는 비용문제로 이 같은 노력을 그만 둘 수 밖에 없었다고 밝혔다. 파이어아이에 따르면 시중의 보안 프로그램 가운데 약 40% 정도만이 봇넷의 공격 또는 감염을 초기에 감지할 수 있는 것으로 분석되고 있다.
보안 업계는 물론이고 정부기관까지 가세한 민관 협력이 필요하다는 목소리가 설득력을 얻는 이유다.
이정환기자 victolee@etnews.co.kr
◇용어설명: 봇넷이란=컴퓨터를 좀비처럼 만들어 사용자도 모르는 사이에 스팸이나 바이러스 등을 전파하도록 하는 악성코드를 봇(Bot)이라고 하고 봇에 감염된 컴퓨터가 네트워크를 형성한 것을 봇넷(Botnet)이라고 한다. 스리즈비를 비롯해 러스토크(Rustock)·디들러(Dedler)·스톰(Storm) 등이 주요 봇넷으로 꼽히고 있으며 최근 서비스를 중단한 맥콜로가 이들 봇넷의 명령·통제 시스템을 호스팅해왔던 것으로 밝혀졌다.